Audit di Sicurezza WordPress con Sucuri: Checklist Completa

Un audit di sicurezza è un’analisi sistematica e approfondita dello stato di sicurezza del tuo sito WordPress. Non basta installare un plugin di sicurezza e dimenticarsene: la sicurezza è un processo continuo che richiede verifiche periodiche, aggiornamenti e adattamenti alle nuove minacce. Sucuri Security fornisce gli strumenti essenziali per condurre un audit completo, ma la checklist che presentiamo in questa guida va ben oltre il plugin, coprendo ogni aspetto della sicurezza di un’installazione WordPress.

Perché Eseguire un Audit di Sicurezza

Un audit di sicurezza periodico serve a:

• Identificare vulnerabilità prima che vengano sfruttate
• Verificare che le misure di sicurezza implementate funzionino correttamente
• Rilevare configurazioni errate o dimenticate
• Assicurare la conformità normativa (GDPR, PCI DSS se applicabile)
• Documentare lo stato di sicurezza per la direzione o i clienti
• Aggiornare le misure di protezione in base alle nuove minacce

Consigliamo di eseguire un audit completo almeno ogni trimestre per siti aziendali e ogni mese per e-commerce e siti con dati sensibili. Audit più leggeri (le verifiche più critiche) dovrebbero essere eseguiti settimanalmente.

Sezione 1: Aggiornamenti e Versioni

La prima e più importante area da verificare riguarda lo stato degli aggiornamenti.

Checklist Aggiornamenti

• WordPress è aggiornato all’ultima versione stabile?
• Tutti i plugin sono aggiornati all’ultima versione?
• Tutti i temi sono aggiornati all’ultima versione?
• PHP è aggiornato a una versione supportata (8.1+)?
• Il web server (Apache/nginx) è aggiornato?
• Il database (MySQL/MariaDB) è aggiornato?
• Il sistema operativo del server ha tutte le patch di sicurezza?

Sucuri verifica automaticamente la versione di WordPress nel modulo Hardening e segnala se ci sono aggiornamenti disponibili per i plugin. Per il resto della stack (PHP, web server, database, OS), devi verificare manualmente o attraverso il pannello di hosting.

Sezione 2: Plugin e Temi

I plugin sono il vettore di attacco più comune per WordPress. Un audit accurato deve analizzare ogni componente installato.

Checklist Plugin e Temi

• Ci sono plugin installati ma non attivi? Rimuovili (anche disattivati possono contenere vulnerabilità sfruttabili)
• Ci sono temi installati ma non attivi oltre al tema predefinito? Rimuovili
• Tutti i plugin provengono da fonti affidabili (repository WordPress.org, sviluppatori noti)?
• Ci sono plugin “nulled” (versioni pirata di plugin premium)? Rimuovili immediatamente, contengono quasi sempre malware
• I plugin installati sono ancora mantenuti attivamente dallo sviluppatore? Plugin abbandonati (nessun aggiornamento da più di 12 mesi) sono un rischio
• Ci sono plugin con vulnerabilità note non corrette? Controlla su wpvulndb.com o wpscan.com
• Ogni plugin installato è davvero necessario? Meno plugin = meno superficie di attacco

Sezione 3: Utenti e Autenticazione

La gestione degli utenti è un’area critica spesso trascurata.

Checklist Utenti

• Esistono account “admin” o “administrator” come username? Rinominali
• Tutti gli utenti hanno ruoli appropriati (principio del minimo privilegio)?
• Ci sono utenti inattivi che dovrebbero essere rimossi?
• Ci sono utenti sconosciuti o sospetti nella lista?
• L’autenticazione a due fattori (2FA) è attiva per tutti gli amministratori?
• Le password degli amministratori sono robuste (16+ caratteri, complesse)?
• L’ultima volta che gli amministratori hanno cambiato password è entro gli ultimi 90 giorni?
• L’editor di file integrato è disabilitato (DISALLOW_FILE_EDIT)?

Usa l’audit log di Sucuri per verificare le attività recenti degli utenti e identificare eventuali comportamenti anomali.

Sezione 4: Hardening

Verifica che tutte le misure di hardening siano correttamente applicate.

Checklist Hardening

• Il blocco dell’editor file è attivo (sezione Sucuri Hardening)?
• L’esecuzione PHP è bloccata in wp-content/uploads/?
• L’esecuzione PHP è bloccata in wp-includes/?
• La versione di WordPress è nascosta nel codice sorgente?
• La navigazione delle directory è disabilitata (Options -Indexes)?
• XML-RPC è disabilitato o limitato?
• L’enumerazione degli utenti è prevenuta?
• La REST API è limitata per utenti non autenticati (se non necessaria)?
• Il file wp-config.php ha permessi 600 o 640?
• Il file .htaccess è protetto dall’accesso diretto?
• L’accesso a readme.html e license.txt è bloccato?

Sezione 5: SSL e Comunicazioni

Checklist SSL

• Il certificato SSL è valido e non scaduto?
• Il certificato copre tutti i sottodomini necessari?
• Il redirect da HTTP a HTTPS è attivo e funzionante?
• L’header HSTS (Strict-Transport-Security) è configurato?
• Non ci sono contenuti misti (risorse HTTP su pagine HTTPS)?
• Il protocollo TLS 1.2 o superiore è il minimo supportato (TLS 1.0 e 1.1 sono deprecati)?

Usa strumenti come SSL Labs (ssllabs.com) per un’analisi approfondita della configurazione SSL del tuo sito. Un voto A o A+ è l’obiettivo.

Sezione 6: Header di Sicurezza HTTP

Checklist Header

• X-Frame-Options: impostato a DENY o SAMEORIGIN per prevenire il clickjacking?
• X-Content-Type-Options: impostato a nosniff per prevenire il MIME type sniffing?
• X-XSS-Protection: impostato a 1; mode=block?
• Content-Security-Policy: configurato per limitare le origini dei contenuti?
• Referrer-Policy: impostato per controllare quali informazioni vengono inviate nei referrer?
• Permissions-Policy: configurato per limitare l’accesso alle API del browser?

Verifica gli header con securityheaders.com. Un voto A è l’obiettivo minimo.

Sezione 7: Backup

Checklist Backup

• I backup automatici sono configurati e funzionanti?
• La frequenza di backup è adeguata (giornaliera per e-commerce, almeno settimanale per altri siti)?
• I backup includono sia i file che il database?
• I backup sono conservati in una posizione esterna al server (cloud, altro server)?
• Hai testato il ripristino di un backup negli ultimi 30 giorni?
• La retention dei backup è sufficiente (almeno 30 giorni)?
• I backup sono crittografati se contengono dati sensibili?

Un backup non testato è un backup che potrebbe non funzionare. Testa regolarmente la procedura di ripristino su un ambiente di staging.

Sezione 8: Configurazione del Server

Checklist Server

• I permessi dei file sono corretti (644 per i file, 755 per le directory, 600 per wp-config.php)?
• L’accesso SSH è protetto (chiave SSH, no password root, porta non standard)?
• FTP è disabilitato a favore di SFTP?
• Il pannello di hosting ha una password robusta e 2FA?
• L’accesso al database è limitato a localhost?
• Le funzioni PHP pericolose sono disabilitate (exec, system, passthru, shell_exec)?
• Il display_errors è disabilitato in produzione?
• Il WP_DEBUG è impostato a false in produzione?

Sezione 9: Monitoraggio e Logging

Checklist Monitoraggio

• Le scansioni Sucuri sono configurate e funzionanti?
• Le notifiche email sono configurate e arrivano correttamente?
• L’audit log di Sucuri è attivo e sincronizzato con il cloud?
• Google Search Console è collegato e monitorato per problemi di sicurezza?
• Un servizio di uptime monitoring è attivo?
• I log del web server sono conservati e consultabili?
• I log di accesso mostrano IP corretti (non quelli del proxy CDN)?

Sezione 10: Conformità e Privacy

Checklist GDPR

• L’informativa sulla privacy è aggiornata e completa?
• Il banner dei cookie è implementato e conforme?
• I dati personali sono protetti da crittografia in transito (HTTPS) e a riposo (database)?
• Le policy di data retention sono definite e implementate?
• Esiste una procedura per la cancellazione dei dati su richiesta dell’interessato?
• Il Data Processing Agreement è stipulato con tutti i fornitori che trattano dati personali?
• Il registro dei trattamenti è aggiornato?

Come Eseguire l’Audit: Procedura Passo Passo

1. Prepara l’ambiente: accedi alla bacheca WordPress, alla dashboard Sucuri, al pannello hosting e a Google Search Console
2. Lancia una scansione completa con Sucuri e attendi i risultati
3. Percorri la checklist sezione per sezione, documentando lo stato di ogni punto (conforme, non conforme, parzialmente conforme)
4. Classifica i problemi per priorità: critico (azione immediata), alto (azione entro 24 ore), medio (azione entro una settimana), basso (azione al prossimo audit)
5. Risolvi i problemi critici immediatamente
6. Crea un piano di azione per i problemi rimanenti con scadenze e responsabili
7. Documenta i risultati e confrontali con l’audit precedente per verificare i progressi

Template di Report

Per ogni audit, crea un report sintetico che includa:

• Data dell’audit e autore
• Versioni del software (WordPress, PHP, plugin principali)
• Risultati della scansione Sucuri
• Numero di punti conformi, non conformi e parzialmente conformi per sezione
• Elenco dei problemi critici e alto priorità con azioni correttive
• Confronto con l’audit precedente
• Data programmata per il prossimo audit

Frequenza Consigliata

• Settimanale (10 minuti): verifica aggiornamenti, controlla dashboard Sucuri, verifica backup
• Mensile (30 minuti): tutto il settimanale + revisione utenti, verifica hardening, test SSL
• Trimestrale (2 ore): audit completo con tutte le sezioni della checklist
• Annuale (4 ore): audit completo + revisione architettura di sicurezza, rinnovo policy, test di penetrazione

Conclusioni

Un audit di sicurezza regolare è la migliore garanzia contro le compromissioni. La checklist presentata in questa guida copre tutti gli aspetti critici della sicurezza WordPress e, combinata con gli strumenti di Sucuri, fornisce un framework completo per mantenere il tuo sito protetto nel tempo. La sicurezza non è una destinazione ma un viaggio: gli audit periodici sono le tappe che ti assicurano di essere sulla strada giusta.

Se vuoi un audit di sicurezza professionale del tuo sito WordPress, contatta G Tech Group: i nostri esperti eseguiranno un’analisi approfondita e ti forniranno un report dettagliato con tutte le azioni correttive necessarie.